Para definir responsabilidades e garantir o cumprimento das diretrizes, a LGPD (Lei Geral de Proteção de Dados) criou duas figuras principais relacionadas ao tratamento de dados: o controlador e o operador. Os conceitos podem gerar confusão, mas têm atribuições distintas e bem definidas.
Controlador de dados na LGPD
Segundo a lei de proteção de dados, o controlador é a pessoa física ou jurídica, de direito público ou privado, “a quem competem as decisões referentes ao tratamento de dados pessoais”. Na prática, ele determina quais informações serão coletadas e a finalidade do tratamento, além de estabelecer como elas serão utilizadas, compartilhadas e armazenadas.
Resumidamente, o controlador define o “porquê” e o “como” do tratamento de dados pessoais. Ele não apenas garante que os princípios da LGPD sejam seguidos, mas também assegura a transparência e a comunicação com o titular dos dados e elabora o Relatório de Impacto à Proteção de Dados Pessoais (documento sobre processos de tratamento de dados pessoais dentro de uma empresa).
Operador de dados na LGPD
O operador de dados, por sua vez, é a pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados em nome do controlador. O operador age de acordo com as instruções do controlador e é responsável por executar as atividades de processamento das informações pessoais.
Pode parecer que o operador apenas segue ordens, porém, ele também é responsável por seguir medidas técnicas e organizacionais em prol do cumprimento da LGPD, garantindo a segurança e a confidencialidade dos dados.
Exemplos
Um banco é o controlador dos dados pessoais de seus clientes, enquanto o call center responsável por todo atendimento da instituição financeira é o operador das informações. Portanto, o banco é quem determina quais elementos serão coletados, para que fim e como eles serão usados. Já o call center segue essas determinações de acordo com a LGPD.
Outro exemplo é uma loja online, em que a própria marca coleta os dados, portanto, é a controladora. Se a marca terceiriza o processamento e envio dos pedidos, essa empresa terceirizada é a operadora das informações dos clientes.
Como determinar papéis
Conforme explicado, controlador e operador de dados possuem papéis distintos na LGPD. A lei prevê a criação de uma política de tratamento de dados, em que deve constar o tipo de tratamento que será feito por cada companhia, definindo inclusive como será o relacionamento entre as partes. Isso salvaguarda as empresas em caso de vazamento de dados.
E o DPO?
O DPO (Data Protection Officer), ou encarregado de tratamento de dados, é outra figura criada pela LGPD. Ele é o ponto de contato entre a organização que realiza o tratamento de dados e a ANPD (Agência Nacional de Proteção de Dados), sendo um canal de comunicação com os titulares dos dados pessoais.
Essa pessoa tem a tarefa de orientar sobre as obrigações e os requisitos da LGPD para a empresa e seus funcionários, acompanhar as atividades de tratamento de dados para garantir que estejam em conformidade com a lei e ser o ponto de contato para os titulares dos dados que desejam exercer seus direitos, como retificação ou exclusão das informações.
Gostou deste conteúdo? Compartilhe-o nas redes sociais!